Mittwoch, 6. August 2008
Bild: Blogger enthauptet Wachswolf im Webfigurenkabinett
tobi
09:39h
"Der Mehrheit, die zum jeweiligen Thema etwas, nicht selten Wertvolles, beitragen möchte, steht eine Minderheit von Diskutanten gegenüber, die nur ein Thema kennen – nämlich sich selbst (und die Welt, die ihm oder ihr nicht das gewünschte Augenmerk schenkt). [...] Wir stehen eindeutig auf der Seite der ernsthaften Meinungsäußerung und jener, die sich um diese bemühen." (Quelle)
Bei allem Verständnis fürs Loswerdenwollen oder wenigstens Filtern von Trollen, illegalen oder einfach auch nur unerwünschten Beiträgen in Foren:
Fünf Tage geht das jetzt schon, dass (durch die schwarz-weiße Polarisationsbrille betrachtet) die eine Seite droht, den GRÖTAZ anzuzeigen, zu outen, an den Pranger zu stellen und was weiß ich noch alles, während die andere sich abstrampelt, um an ihm ein Exempel der Meinungsfreiheit für gefährdete Trollarten zu statuieren.
(Durch die rosarote Brille sehe ich schon auch noch ganz viele Menschen eine bereits etliche Male geführte, aber scheint's immer wieder notwendige Diskussion wiederholen; mehr aber auch nicht.)
Das überbordende Verständnis für einen, der einfach zu viele Nerven kostet und die Geduld allzuvieler strapaziert, verstehe ich zwar weiterhin nicht – im zivilisierten Umgang miteinander sollte es wohl selbstverständlich sein, dass Rücksicht aufeinander das oberste Gebot ist.
Das Web ist groß genug für alle.
Die Entscheidung, ob diese Rücksicht besteht, ob ich als Website-Betreiber mit jemandem diskutieren kann und will, obliegt mir allein.
Will ich das nicht, dann ist eine Trennung völlig gerechtfertigt. Und die führt man auf einer Website eben herbei, indem man dem Gegenüber, mit dem man partout nicht zusammenpasst, um Mäßigung bittet, Enthaltsamkeit nahelegt, Beiträge löscht, filtert, den Zugang versperrt oder Rechtsmittel ergreift – je nach Eskalationsstufe.
Dafür hat jeder mein vollstes Verständnis.
Nicht jedoch für als Diskussion getarnte Kampagnen, die letztlich nur noch beide Seiten dazu verfluchen, bis zum Ermüdungstod ihren jeweiligen Sermon wie in Trance immer wieder von vorne bis hinten durchzubeten, und dabei auf alles zu treten, was sonst noch im Weg liegt (oder was man schon immer mal loswerden wollte).
Befindlichkeitsbloggen rules OK – for a while.
Irgendwann kommt mir aber einfach der Sinn des ganzen abhanden, und ich fürchte, für die Troll-Problematik wird das dann eher kontraproduktiv.
Wahrscheinlich geht's im Hintergrund um was ganz anderes (und das auf beiden Seiten).
Bei allem Verständnis fürs Loswerdenwollen oder wenigstens Filtern von Trollen, illegalen oder einfach auch nur unerwünschten Beiträgen in Foren:
Fünf Tage geht das jetzt schon, dass (durch die schwarz-weiße Polarisationsbrille betrachtet) die eine Seite droht, den GRÖTAZ anzuzeigen, zu outen, an den Pranger zu stellen und was weiß ich noch alles, während die andere sich abstrampelt, um an ihm ein Exempel der Meinungsfreiheit für gefährdete Trollarten zu statuieren.
(Durch die rosarote Brille sehe ich schon auch noch ganz viele Menschen eine bereits etliche Male geführte, aber scheint's immer wieder notwendige Diskussion wiederholen; mehr aber auch nicht.)
Das überbordende Verständnis für einen, der einfach zu viele Nerven kostet und die Geduld allzuvieler strapaziert, verstehe ich zwar weiterhin nicht – im zivilisierten Umgang miteinander sollte es wohl selbstverständlich sein, dass Rücksicht aufeinander das oberste Gebot ist.
Das Web ist groß genug für alle.
Die Entscheidung, ob diese Rücksicht besteht, ob ich als Website-Betreiber mit jemandem diskutieren kann und will, obliegt mir allein.
Will ich das nicht, dann ist eine Trennung völlig gerechtfertigt. Und die führt man auf einer Website eben herbei, indem man dem Gegenüber, mit dem man partout nicht zusammenpasst, um Mäßigung bittet, Enthaltsamkeit nahelegt, Beiträge löscht, filtert, den Zugang versperrt oder Rechtsmittel ergreift – je nach Eskalationsstufe.
Dafür hat jeder mein vollstes Verständnis.
Nicht jedoch für als Diskussion getarnte Kampagnen, die letztlich nur noch beide Seiten dazu verfluchen, bis zum Ermüdungstod ihren jeweiligen Sermon wie in Trance immer wieder von vorne bis hinten durchzubeten, und dabei auf alles zu treten, was sonst noch im Weg liegt (oder was man schon immer mal loswerden wollte).
Befindlichkeitsbloggen rules OK – for a while.
Irgendwann kommt mir aber einfach der Sinn des ganzen abhanden, und ich fürchte, für die Troll-Problematik wird das dann eher kontraproduktiv.
Wahrscheinlich geht's im Hintergrund um was ganz anderes (und das auf beiden Seiten).
... Comment
kristof, 2008.08.06, 10:20
Was wirst du tun?
... Link
kristof, 2008.08.06, 10:41
Na, sowas wie Ziwo blocken oder nicht. Die Situation bei blogger.de (keine neuen Accounts) ist ja durchaus deeskalierend :)
Die Entscheidung, ob diese Rücksicht besteht, ... obliegt mir allein. Das klang so, als hättest du einen Plan ...
Die Entscheidung, ob diese Rücksicht besteht, ... obliegt mir allein. Das klang so, als hättest du einen Plan ...
... Link
tobi, 2008.08.06, 10:50
Mir allein als Website-Betreiber wie jeder und jedem auch, die/der eine Website betreibt.
Einen Plan hab ich tatsächlich. Allerdings leider keine Zeit ihn demnächst umzusetzen.
Für eine Weile keine neuen Accounts rausgeben, ist in diesem Fall für blogger.de eine gute, wenn auch nur kurzfristige Lösung.
Edit: siehe meinen nächsten Kommentar
Bei Antville.org besteht wohl derzeit kein Handlungsbedarf.
Einen Plan hab ich tatsächlich. Allerdings leider keine Zeit ihn demnächst umzusetzen.
Edit: siehe meinen nächsten Kommentar
Bei Antville.org besteht wohl derzeit kein Handlungsbedarf.
... Link
kristof, 2008.08.06, 10:55
Handlungsbedarf: Da bin ich mir halt nicht so sicher. Einige Anville-Blogs sind durchaus ein Refugium für den ZW.
... Link
tobi, 2008.08.06, 10:59
Für eine Weile keine neuen Accounts rausgeben, ist in diesem Fall für blogger.de eine gute, wenn auch nur kurzfristige Lösung.
Ich revidiere mich. Diese Lösung finde ich doch nicht so gut.
Das ist ja gerade das Dilemma: Ich als Webhoster möchte mich eben nicht mit den Troll-Problemen der einzelnen Websites befassen, bzw. als Konsequenz alle gehosteten Websites zur Problemlösung in Mitleidenschaft ziehen. (Außer ich bin rechtlich dazu gezwungen.)
Es ist jedenfalls kein technisches Problem.
Für die Refugien in einzelnen Websites auf Antville.org wie auch die Websites selbst, fühle ich mich darüberhinaus nicht verantwortlich.
(Das war nicht immer so, ich habe meine Einstellung dazu geändert.)
Ich revidiere mich. Diese Lösung finde ich doch nicht so gut.
Das ist ja gerade das Dilemma: Ich als Webhoster möchte mich eben nicht mit den Troll-Problemen der einzelnen Websites befassen, bzw. als Konsequenz alle gehosteten Websites zur Problemlösung in Mitleidenschaft ziehen. (Außer ich bin rechtlich dazu gezwungen.)
Es ist jedenfalls kein technisches Problem.
Für die Refugien in einzelnen Websites auf Antville.org wie auch die Websites selbst, fühle ich mich darüberhinaus nicht verantwortlich.
(Das war nicht immer so, ich habe meine Einstellung dazu geändert.)
... Link
kristof, 2008.08.06, 11:03
Obliegt nun die Entscheidung allein bei dir, oder lässt du das Problem bei den einzelnen Bloggern?
Mein Eindruck ist, daß viele für eine Entscheidung von dir dankbar wären.
Mein Eindruck ist, daß viele für eine Entscheidung von dir dankbar wären.
... Link
tobi, 2008.08.06, 11:14
An Entscheidungskraft und Entschlossenheit mangelt es mir nicht, wie das Zitat oben sehr schön belegt.
Ich sehe wie gesagt derzeit keinen Anlass, eine triftige Entscheidung zu treffen, was Sie gern auch so auslegen können, dass ich mich entschieden habe, in dieser Sache bis auf weiteres nichts zu unternehmen.
Nun gehet hin und blogget in Frieden.
Ich sehe wie gesagt derzeit keinen Anlass, eine triftige Entscheidung zu treffen, was Sie gern auch so auslegen können, dass ich mich entschieden habe, in dieser Sache bis auf weiteres nichts zu unternehmen.
Nun gehet hin und blogget in Frieden.
... Link
etcpp, 2008.08.06, 11:29
@ tobi
Es ist jedenfalls kein technisches Problem.
Aber einige nichttechnische Probleme lassen sich vielleicht technisch lösen, basierend auf festzulegenden Regeln. Der angesprochene Fall scheint mir ein sehr gutes Beispiel dafür, dass das Ende des Wilden Onlinewestens eingeläutet werden sollte. Klar, der Zitterwolf verhält sich wie ein Arschloch (was erst einmal nur Vermutungen über die Person dahinter zulässt, nicht aber ein Urteil). Klar ist aber auch, dass die angedrohten Sanktionen von Don Alphonso einer Selbstjustiz gleichkommen. Das Problem ist aus meiner Sicht, dass - verkürzt - zwei Dinge unter einen Hut gebracht werden müssen, die unter aktuellen (technischen) Voraussetzungen nur schwer unter einen Hut zu bringen sind:
1) Das Recht auf Anonymität
2) Die Pflicht zur Übernahme von Verantwortung
Ich glaube, dass es Zeit wird für so etwas wie ein (zentrales) "Einwohnermeldeamt". Grob gesagt könnte hier von unabhängiger Seite eine Verknüpfung zwischen Realidentität und Onlineidentität hergestellt werden, die vor realen Gerichten Geltung hat. So würde beiden Ansprüchen Genüge getan: Ich kann mich in Form einer für Dritte nicht zu entschlüsselnden Identität im Netz bewegen UND bin dennoch zur Rechenschaft zu ziehen.
All das auf freiwilliger Basis, es obläge dann den Diensteanbietern im Bedarfsfall ihr Angebot ausschließlich oder in Teilen nur solchen "fundierten" Onlineidentitäten zu öffnen. Auch die Sorgfaltspflicht für Betreiber würde entfallen, da nun das Verursacherprinzip gelten darf - jeder Mensch hinter einer Onlineidentität wäre im Bedarfsfall auch zur Rechenschaft zu ziehen.
Es müsste dann noch ein Verfahren entwickelt werden, wie eine "Enttarnung" im Bedarfsfall handzuhaben wäre, am liebsten natürlich ausschließlich von Gerichtsbarkeiten unter Ausschluss der Öffentlichkeit, ob nun staatlich oder nicht, lasse ich mal dahingestellt.
Das alles klingt vielleicht arg korinthenkackerisch. Aber die Alternative wäre eben, dass sich weiterhin jeder nahezu alles erlauben darf, in Angriff und Verteidigung, und das ist - zumindest mir - vergleichsweise unsympathischer.
Es ist jedenfalls kein technisches Problem.
Aber einige nichttechnische Probleme lassen sich vielleicht technisch lösen, basierend auf festzulegenden Regeln. Der angesprochene Fall scheint mir ein sehr gutes Beispiel dafür, dass das Ende des Wilden Onlinewestens eingeläutet werden sollte. Klar, der Zitterwolf verhält sich wie ein Arschloch (was erst einmal nur Vermutungen über die Person dahinter zulässt, nicht aber ein Urteil). Klar ist aber auch, dass die angedrohten Sanktionen von Don Alphonso einer Selbstjustiz gleichkommen. Das Problem ist aus meiner Sicht, dass - verkürzt - zwei Dinge unter einen Hut gebracht werden müssen, die unter aktuellen (technischen) Voraussetzungen nur schwer unter einen Hut zu bringen sind:
1) Das Recht auf Anonymität
2) Die Pflicht zur Übernahme von Verantwortung
Ich glaube, dass es Zeit wird für so etwas wie ein (zentrales) "Einwohnermeldeamt". Grob gesagt könnte hier von unabhängiger Seite eine Verknüpfung zwischen Realidentität und Onlineidentität hergestellt werden, die vor realen Gerichten Geltung hat. So würde beiden Ansprüchen Genüge getan: Ich kann mich in Form einer für Dritte nicht zu entschlüsselnden Identität im Netz bewegen UND bin dennoch zur Rechenschaft zu ziehen.
All das auf freiwilliger Basis, es obläge dann den Diensteanbietern im Bedarfsfall ihr Angebot ausschließlich oder in Teilen nur solchen "fundierten" Onlineidentitäten zu öffnen. Auch die Sorgfaltspflicht für Betreiber würde entfallen, da nun das Verursacherprinzip gelten darf - jeder Mensch hinter einer Onlineidentität wäre im Bedarfsfall auch zur Rechenschaft zu ziehen.
Es müsste dann noch ein Verfahren entwickelt werden, wie eine "Enttarnung" im Bedarfsfall handzuhaben wäre, am liebsten natürlich ausschließlich von Gerichtsbarkeiten unter Ausschluss der Öffentlichkeit, ob nun staatlich oder nicht, lasse ich mal dahingestellt.
Das alles klingt vielleicht arg korinthenkackerisch. Aber die Alternative wäre eben, dass sich weiterhin jeder nahezu alles erlauben darf, in Angriff und Verteidigung, und das ist - zumindest mir - vergleichsweise unsympathischer.
... Link
tobi, 2008.08.06, 12:56
5454. September 1993
Statt "(zentralem) Einwohnermeldeamt" - selbst wenn auch "Einwohnermelde" in Klammern stünde – wäre es mir lieber, die Leute würden sich mit den Ideen rund um das Web Of Trust beschäftigen.
"Ask not what the Internet can do for you, ask what you can do for the Internet."
Ich meine, hey!, das Internet ist ein selbst- und liberal organisiertes Geflecht.
"Be liberal in what you accept, and conservative in what you send."
Es ist selbstverständlich ein subjektiver Eindruck, aber wie im Wilden Westen kommt mir das nicht vor.
"There are 5,000 great people for every jerk on Usenet. But that still is a lot of jerks. Proceed with caution and eyes wide open."
Das Leben halt, ewiger September.
"Ask not what the Internet can do for you, ask what you can do for the Internet."
Ich meine, hey!, das Internet ist ein selbst- und liberal organisiertes Geflecht.
"Be liberal in what you accept, and conservative in what you send."
Es ist selbstverständlich ein subjektiver Eindruck, aber wie im Wilden Westen kommt mir das nicht vor.
"There are 5,000 great people for every jerk on Usenet. But that still is a lot of jerks. Proceed with caution and eyes wide open."
Das Leben halt, ewiger September.
... Link
etcpp, 2008.08.06, 14:05
Mir fallen eine Menge Argumente gegen ein solches Stille-Post-Signatursystem ein: Das gewichtigste vielleicht, dass es auf Subjektivität beruht. Ich traue ja kaum mir selbst.
... Link
kinomu, 2008.08.06, 14:44
1. Daß auf blogger.de derzeit keine neuen Usernames angelegt werden können, hat mit ZW nicht im Geringsten etwas zu tun. (Das ist der Grund.)
2. Manche - sowohl auf antville.org, als auch auf blogger.de - kommen mit ZW zurecht, einige würden ihn vermissen, andere wiederum finden ihn unerträglich.
3. Es gibt schon seit langem eine technische Möglichkeit, die jedem Blogger erlaubt, ihm unliebsame User am Kommentieren zu hindern.
4. Wenn jemand mein wiederholtes Angebot, diesen Filter auf seinem Blog umzusetzen nicht annimmt und stattdessen lieber als Staatsanwalt, Richter und Henker in Personalunion auftritt, verstärkt das meinen Eindruck, daß es keiner weiteren "technischen Lösung" bedarf.
2. Manche - sowohl auf antville.org, als auch auf blogger.de - kommen mit ZW zurecht, einige würden ihn vermissen, andere wiederum finden ihn unerträglich.
3. Es gibt schon seit langem eine technische Möglichkeit, die jedem Blogger erlaubt, ihm unliebsame User am Kommentieren zu hindern.
4. Wenn jemand mein wiederholtes Angebot, diesen Filter auf seinem Blog umzusetzen nicht annimmt und stattdessen lieber als Staatsanwalt, Richter und Henker in Personalunion auftritt, verstärkt das meinen Eindruck, daß es keiner weiteren "technischen Lösung" bedarf.
... Link
tobi, 2008.08.06, 15:00
@1. Aha; Danke für die Aufklärung. Ist das eine Sicherheitslücke in Antville oder ist sie nur auf blogger.de beschränkt?
@2. Jo mei.
@3. Das ist eine gute Lösung für einen einzigen Account. Um einen Troll von Antville auszusperren, der in nullkommanix gleich wieder einen neuen User registriert hat, ist das leider zu wenig.
@4. Nachvollziehbar.
(Btw. Haben Sie meine Nachricht vom 24. Juli eigentlich erhalten?)
@2. Jo mei.
@3. Das ist eine gute Lösung für einen einzigen Account. Um einen Troll von Antville auszusperren, der in nullkommanix gleich wieder einen neuen User registriert hat, ist das leider zu wenig.
@4. Nachvollziehbar.
(Btw. Haben Sie meine Nachricht vom 24. Juli eigentlich erhalten?)
... Link
kinomu, 2008.08.06, 17:07
@ kristof
Bis jetzt habe ich noch von keinem gehört, der diese Hürde übersprungen hätte - für die meisten ist sie nicht harmlos. Und deine Kommentare möchte ja ohnehin niemand missen.
@ tobi
Das in "nullkommanix gleich wieder einen neuen User registrieren" ist auf blogger.de fast nur bei Spammern ein Problem. Verbessern ließe sich das, indem
Bis jetzt habe ich noch von keinem gehört, der diese Hürde übersprungen hätte - für die meisten ist sie nicht harmlos. Und deine Kommentare möchte ja ohnehin niemand missen.
@ tobi
Das in "nullkommanix gleich wieder einen neuen User registrieren" ist auf blogger.de fast nur bei Spammern ein Problem. Verbessern ließe sich das, indem
- User erst durch einen in einer Bestätigungsmail zugesandten Code angelegt werden könnten - daran würden alle scheitern, die eine Phantasie-Adresse eingeben, insbesondere die Spammer aus China und dem angloamerikanischen Raum, die nicht verstehen, wie das funktioniert.
- die E-Mail-Adressen geblockter User auf einer Blacklist landen, ebenso mailinator.com und ähnliche Dienste sowie bestimmte Domains. (Natürlich kann jeder beliebig viele GMX- oder Hotmail-Accounts anlegen, aber das kostet Zeit.)
- es eine Wartefrist zwischen dem Anlegen eines Usernames und dessen erstmaligem Benutzen gäbe.
- eventuell Superuser einen Überblick über neue User, die besonders viele Kommentare schreiben, hätten.
- Superuser alle von einem Spammer geschriebenen Postings auf einmal löschen könnten.
- ...
... Link
giardino, 2008.08.12, 10:29
Ist das eine Sicherheitslücke in Antville oder ist sie nur auf blogger.de beschränkt?
Ein generellesProblem Feature von Antville, nämlich Javascript in Kommentaren zuzulassen.
Ein generelles
... Link
tobi, 2008.08.12, 10:55
@giardino: Ja, schon klar.
Aber es macht nochmal einen Unterschied, ob ich prinzipiell Script-Tags einbauen, oder ob ich damit auf die Cookies eines x-beliebigen Benutzers zugreifen kann.
Letzteres wäre nochmal eine ganz spezielle Sicherheitslücke.
Aber es macht nochmal einen Unterschied, ob ich prinzipiell Script-Tags einbauen, oder ob ich damit auf die Cookies eines x-beliebigen Benutzers zugreifen kann.
Letzteres wäre nochmal eine ganz spezielle Sicherheitslücke.
... Link
giardino, 2008.08.12, 11:37
Es wurde auf document.cookie zugegriffen und dieses in eine Fremd-URL als Aufrufparameter gepackt, auf die man beim Öffnen der Story umgehend weitergeleitet wurde. Dieses Cookie - soweit ich das gesehen habe - enthält bei angemeldeten Benutzern wohl die Session-Identifizierung für Antville.
(Bitte Kommentar löschen, falls er Leute auf Ideen bringen könnte.)
(Bitte Kommentar löschen, falls er Leute auf Ideen bringen könnte.)
... Link
tobi, 2008.08.12, 11:59
OK, Danke. Herr Kinomu hat mir über diesen Exploit ausführlich erzählt.
Ich bin mir immer noch nicht sicher, ob sich mit diesem Cookie viel anstellen lässt. Helma selbst sorgt dafür, dass die Client-IP im Cookie hinterlegt ist, und überprüft jedes Cookie daraufhin. [Quelle]
Das heißt, von einer anderen IP wäre der einfache Zugriff m.E. nicht möglich (die IP müsste noch herausgefunden und gefälscht werden).
Die Cookies für Username und Password sind in Antville 1.2 nicht mehr im Klartext lesbar.
Die Verschlüsselung ist zwar nicht sehr hoch, aber gegen hohe negative Energie anzutreten überlass ich gern dem e-commerce.
Generell steht eine Software wie Antville hier am Scheideweg: Wollen wir Freiheit oder Sicherheit? (Lies: wollen wir wirklich lieber mit Helm Fahrrad fahren? Ich absolut nicht.)
Ich bin mir immer noch nicht sicher, ob sich mit diesem Cookie viel anstellen lässt. Helma selbst sorgt dafür, dass die Client-IP im Cookie hinterlegt ist, und überprüft jedes Cookie daraufhin. [Quelle]
Das heißt, von einer anderen IP wäre der einfache Zugriff m.E. nicht möglich (die IP müsste noch herausgefunden und gefälscht werden).
Die Cookies für Username und Password sind in Antville 1.2 nicht mehr im Klartext lesbar.
Die Verschlüsselung ist zwar nicht sehr hoch, aber gegen hohe negative Energie anzutreten überlass ich gern dem e-commerce.
Generell steht eine Software wie Antville hier am Scheideweg: Wollen wir Freiheit oder Sicherheit? (Lies: wollen wir wirklich lieber mit Helm Fahrrad fahren? Ich absolut nicht.)
... Link
giardino, 2008.08.12, 12:28
Ah, das klingt beruhigend, dass Session-Cookie und IP gegengecheckt werden.
@Kinomu: Kennt Dirk Olbertz diese Betrachtung? Dann könnte man ja vielleicht das Anlegen neuer User drüben wieder erlauben.
Was für mich bleibt, ist die Frage: Gibt es einen Nutzen für Javascript in Kommentaren? Denn der potentielle Schaden, den man damit anrichten kann (von allerlei eher harmlosem Vandalismus in der Seitenanzeige bis hin zur automatischen Weiterleitung auf eine Malware-Seite) ist ja schon deutlich. In dieser Detailfrage wäre ich daher bislang eher für einen Helm.
(HTML in Kommentaren finde ich übrigens trotz gelegentlich auftretender kleiner Probleme vertretbar.)
@Kinomu: Kennt Dirk Olbertz diese Betrachtung? Dann könnte man ja vielleicht das Anlegen neuer User drüben wieder erlauben.
Was für mich bleibt, ist die Frage: Gibt es einen Nutzen für Javascript in Kommentaren? Denn der potentielle Schaden, den man damit anrichten kann (von allerlei eher harmlosem Vandalismus in der Seitenanzeige bis hin zur automatischen Weiterleitung auf eine Malware-Seite) ist ja schon deutlich. In dieser Detailfrage wäre ich daher bislang eher für einen Helm.
(HTML in Kommentaren finde ich übrigens trotz gelegentlich auftretender kleiner Probleme vertretbar.)
... Link
tobi, 2008.08.12, 12:37
@Session-Cookie: Ich möchte hier beileibe nichts ausschließen, habe einfach nur selbst noch keinen Exploit dieser Art in Aktion gesehen. (Nicht dass ich scharf drauf bin, aber anders werd ich mir kein endgültiges Urteil bilden können.)
@JavaScript in Postings: Einfaches Einbinden von Youtube-Videos, fällt mir da als erstes ein.
@Vandalismus: HTML reicht schon, um eine Seite (un)absichtlich zu sabotieren.
@JavaScript in Postings: Einfaches Einbinden von Youtube-Videos, fällt mir da als erstes ein.
@Vandalismus: HTML reicht schon, um eine Seite (un)absichtlich zu sabotieren.
... Link
kinomu, 2008.08.12, 16:49
Daß die Passwörter in den Antville 1.1-Cookies verschlüsselt sind (und in den 1.2-Cookies zusätzlich gesalzen), weiß Dirk Olbertz natürlich auch.
Das heißt, von einer anderen IP wäre der einfache Zugriff m.E. nicht möglich (die IP müsste noch herausgefunden und gefälscht werden).
Das Herausfinden der IP ist ganz leicht, schließlich wird der den Kommentar aufrufende User weitergeleitet. Damals habe ich auch gesehen, daß die IPs aufgezeichnet wurden - bleibt die Frage, ob man IP-Spoofing als schwierig betrachtet. Ich halte das für keine große Hürde und glaube daher nicht, daß das Anlegen neuer User bald wieder möglich sein kann.
JavaScript ließe sich zwar aus Kommentaren und Stories filtern (das wurde für blogger.de auch schon erwogen), aber solange die Skins so frei angepasst werden können, löst das nicht dieses Problem. (Ich denke, es gibt bessere Gegenmaßnahmen, als Kommentare und Stories zu filtern sowie das Bearbeiten der Skins zu unterbinden: Token.)
Das heißt, von einer anderen IP wäre der einfache Zugriff m.E. nicht möglich (die IP müsste noch herausgefunden und gefälscht werden).
Das Herausfinden der IP ist ganz leicht, schließlich wird der den Kommentar aufrufende User weitergeleitet. Damals habe ich auch gesehen, daß die IPs aufgezeichnet wurden - bleibt die Frage, ob man IP-Spoofing als schwierig betrachtet. Ich halte das für keine große Hürde und glaube daher nicht, daß das Anlegen neuer User bald wieder möglich sein kann.
JavaScript ließe sich zwar aus Kommentaren und Stories filtern (das wurde für blogger.de auch schon erwogen), aber solange die Skins so frei angepasst werden können, löst das nicht dieses Problem. (Ich denke, es gibt bessere Gegenmaßnahmen, als Kommentare und Stories zu filtern sowie das Bearbeiten der Skins zu unterbinden: Token.)
... Link
kristof, 2008.08.22, 14:18
Hm, die oben genannten Tricks sind natürlich relativ unbedeutend, solange man als Bloginhaber die Login-Seite selbst gestalten und alle Logins abgreifen kann.
... Link
ichichich, 2008.08.22, 14:22
@kristof: Das ist genau mein Reden seit 1945. Twoday hat das gut gelöst: Login und jede andere Aktion, bei der mit Benutzerdaten hantiert wird, ist nur über eine zentrale Seite möglich, auf deren Layout niemand Einfluß hat.
... Link
kristof, 2008.08.22, 14:26
Dass beim jetzigen Login auch massenhaft Ajax-Jedöns eingesetzt wird, macht für mich die Sache nicht viel transparenter.
... Link
tobi, 2008.08.25, 13:35
Oh the hyperbole!
Die Verschlüsselung des Passworts im Browser und vor dem Absenden der Daten (aka "massenhaft Ajax-Jedöns") macht tatsächlich die Login-Daten (aka "die Sache") insofern nicht transparenter, sondern – au contraire – eben gerade für die bösen Mädchen und Buben etwas weniger leicht durchschaubar.
Nichtsdestotrotz funktioniert der Login auch ohne JavaScript; dann wird das Passwort eben unverschlüsselt als Klartext an die Elise übermittelt, und die sorgt dann für die nötige Verschlüsselung.
Nichtsdestotrotz funktioniert der Login auch ohne JavaScript; dann wird das Passwort eben unverschlüsselt als Klartext an die Elise übermittelt, und die sorgt dann für die nötige Verschlüsselung.
... Link
kristof, 2008.08.25, 16:53
Nun ja, die Frage ist doch, inwieweit man per Loginseite die Userdaten abgreifen kann. Bzw. dass man kann. Die Verschlüsselung ändert daran nix.
... Link
tobi, 2008.08.25, 17:41
Mein Kommentar bezog sich auch einzig und allein auf den von Ihnen um 14:26.
Dass sich die beliebig veränderbaren Skins in Antville generell als Sicherheitslücke auslegen (und auch ausbeuten) lassen, streitet ja niemand ab.
Dass sich die beliebig veränderbaren Skins in Antville generell als Sicherheitslücke auslegen (und auch ausbeuten) lassen, streitet ja niemand ab.
... Link
tobi, 2008.08.25, 18:16
Ja, das haben Sie bereits betont, und ich habe daraufhin versucht zu erklären, dass Antville.org seit Jahren trotz und in puncto dieses Features schadlos geblieben ist.
Selbstverständlich ist es möglich, dass demnächst doch ein Schmock zuschlägt. Klar, ärgerlich. Und Sie haben's dann schon immer gewusst und gesagt.
Antville ist nun einmal kein e-commerce-Kahn von 10 Cryptoregistertonnen, mit 100-köpfiger Mannschaft an Deck und einem 448-bit schweren Blowfish im Netz.
Selbstverständlich ist es möglich, dass demnächst doch ein Schmock zuschlägt. Klar, ärgerlich. Und Sie haben's dann schon immer gewusst und gesagt.
Antville ist nun einmal kein e-commerce-Kahn von 10 Cryptoregistertonnen, mit 100-köpfiger Mannschaft an Deck und einem 448-bit schweren Blowfish im Netz.
... Link
tobi, 2008.08.25, 18:23
Nachtrag
Es spricht selbstverständlich nichts dagegen, für diesen (wie auch jeden anderen) Sachverhalt, Feature-Request oder Bug (wie man's halt sehen will) ein entprechendes Ticket in den Issue-Tracker einzupflegen.
... Link
... Comment
Online for 2713 days
Last modified: 2008.12.02, 08:49
Last modified: 2008.12.02, 08:49
Status
Youre not logged in ... Login
Menu
Search
Calendar
| Dezember 2008 | ||||||
|---|---|---|---|---|---|---|
| Mo | Di | Mi | Do | Fr | Sa | So |
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 | ||||
| Oktober | ||||||
Recent updates
Die Suche ist immer
noch Substandard, ja.
by tobi (2008.12.02, 08:49)
ist search tatsächlich immer noch
so behindert dass es ausschliesslich in den Titles sucht?...
by progosk (2008.12.01, 23:17)
Sorry, hab ich vergessen.
Ist jetzt hoffentlich beantwortet.
by tobi (2008.11.12, 11:45)
Slightly off-topic: Ich hatte eine
Frage bzgl. der Anzahl der angezeigten Zeichen in RSS-Feeds....
by alex63 (2008.11.12, 11:21)
Kommentare sind strukturell gesehen tatsächlich
Stories mit leicht veränderten Eigenschaften.
Dass man mit einer...
by tobi (2008.11.12, 10:59)
Habe gerade einen lustigen Effekt
bemerkt, der dazu führt, dass man Kommentare wie Stories...
by ichichich (2008.11.12, 10:30)
war das mit dem Cookie
nicht sogar breit diskutiert worden hier?
Na ja, vielen...
by DaveKay (2008.10.21, 17:52)
Außerdem neu Seit gestern läuft
Antville.org mit der allerneuesten Helma, auch bisher ohne Probleme.
Das...
by tobi (2008.10.21, 13:49)
danke
by mariong (2008.10.21, 08:46)
Hui Das hat also doch
etwas länger gedauert, die gute Elise mit neuen Versionen von...
by tobi (2008.10.21, 01:19)
haben sie auch kürzlich
hader gesehen?
;-)
o.k. - alles klar.
by dieguteseite (2008.10.13, 11:19)
Klar, dürfen Sie so unverschämt
sein, und mich bitten; ich darf dafür so unverschämt...
by tobi (2008.10.13, 10:50)
herr tobi, dürfte ich so
unverschämt sein und sie bitten bei meinen mostread die top-7...
by dieguteseite (2008.10.10, 20:48)
Also mir wär's auch recht,
wenn entweder die Zahlen einfach stehen blieben, denn die...
by simons (2008.10.09, 20:34)
ich würd ja eher sagen,
dass die anderen stories zu niedrige zugriffszahlen haben. ;-)...
by alex63 (2008.10.09, 19:03)
Wenn das PIs wären würde
ich ja sagen: das lassen wir, ich such mal...
by DonDahlmann (2008.10.09, 18:43)
statistik ist opium für vollkoffer
setzten sie ruhig alle meine auf 0 zurück. oder lassen...
by kris (2008.10.09, 17:44)
Nachbesserungen So, der zweite Teil
des Updates, den ich letztesmal nicht mehr geschafft habe, ist...
by tobi (2008.10.03, 02:15)
funkt, danke!
by motzes (2008.09.13, 23:24)
Galleries sind wieder da! Und
damit hoffe ich, dass diese erfreuliche Nachricht die einzigen Auswirkungen...
by tobi (2008.09.13, 22:34)
Antville is looking forward to
your donation
Please use one of the three transfer methods...
by tobi (2008.09.05, 14:23)
Antville freut sich über Ihre
Spende
Bitte verwenden Sie eine der drei folgenden Überweisungsmöglichkeiten:
1....
by tobi (2008.09.05, 14:22)
*seufz*
Das meinte
ich mit "14:58".
by kristof (2008.08.25, 23:50)
Nachtrag Es spricht selbstverständlich nichts
dagegen, für diesen (wie auch jeden anderen) Sachverhalt, Feature-Request oder...
by tobi (2008.08.25, 18:23)
Ja, das haben Sie bereits
betont, und ich habe daraufhin versucht zu erklären, dass...
by tobi (2008.08.25, 18:16)
